《全面风险管理与内部控制知识普及读本.docx》由会员分享,可在线阅读,更多相关《全面风险管理与内部控制知识普及读本.docx(87页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、一、全面风险管理术语(一)风险管理基础术语 1、风险指未来的不确定性对企业实现经营目标的影响。未来的不不确定性性可能会会对企业业经营目目标的实实现带来来负面的的影响,也可能能会带来来正面的的影响。因此,风险可可分为以以下两类类:1.1纯纯粹风险险是指未未来事项项的发生生将对企企业经营营目标的的实现产产生负面面影响的的可能性性。1.2机机会风险险是指未未来事项项的发生生将对企企业经营营目标的的实现产产生正面面影响的的可能性性。注:有关关可能性性的程度度可以用用不同等等级来表表示:极极不可能能/不太太可能/可能/很可能能/极有有可能。2、全面面风险管管理指企业围围绕总体体经营目目标,建建立健全全全
2、面风风险管理理体系,通过在在企业管管理和企企业经营营的各个个环节执执行风险险管理的的基本流流程,培培育良好好的风险险管理文文化,从从而为实实现风险险管理的的总体目目标提供供有效保保证的过过程和方方法。3、风险险管理框框架指企业对对风险管管理的设设计、实实施、监监控、检检查和持持续改进进等进行行的一系系列基础础的组织织安排。4、风险险管理基基本流程程指企业开开展风险险管理工工作所进进行的一一系列业业务活动动和工作作环节,具体包包括:收收集风险险管理初初始信息息、风险险评估、制定风风险管理理策略、提出和和实施风风险管理理应对方方案、风风险管理理的监督督与改进进。5、内部部控制系系统指围绕风风险管理
3、理策略目目标,针针对企业业战略、规划、产品研研发、投投融资、市场运运营、财财务、内内部审计计、法律律事务、人力资资源、采采购、加加工制造造、销售售、物流流、质量量、安全全生产、环境保保护等各各项业务务管理及及其重要要业务流流程,制制定并执执行的风风险管理理规章制制度、程程序和措措施。6、风险险管理信信息系统统指通过信信息技术术,为全全面风险险管理的的各项工工作,传传输企业业风险和和风险管管理信息息的系统统平台,具备风风险数据据和信息息的采集集、存储储、加工工、分析析、测试试、传递递、报告告、披露露等各项项功能。7、风险险文化指在企业业的日常常运营中中,基于于企业的的风险哲哲学、风风险偏好好和整
4、体体企业文文化形成成的对待待风险的的态度、价值观观和系列列实践行行为等。(二)与与风险评评估相关关的术语语1、风险险评估指企业及及时辨识识、科学学分析和和评价影影响经营营管理目目标实现现的各种种不确定定因素并并确定重重大风险险的过程程,包括括风险辨辨识、风风险分析析、风险险评价三三个主要要步骤。2、风险险辨识指查找企企业各业业务单元元、各项项重要经经营活动动及其重重要业务务流程中中有无风风险,有有哪些风风险。3、风险险分析指对辨识识出的风风险及其其特征进进行明确确的定义义描述,分析和和描述风风险发生生可能性性的高低低、风险险发生的的条件。4、风险险评价指评估风风险对企企业实现现目标的的影响程程
5、度、风风险的价价值等。5、来源源识别指发现、列举和和描述风风险来源源的过程程。6、风险险源指单独或或联合具具有内在在的潜在在引起危危险的因因素。7、重大大风险指经过风风险评估估所确定定的,在在当前所所有风险险中风险险水平较较高且超超出企业业风险承承受度的的风险,也即在在风险图图中处于于高风险险区域的的风险。8、风险险图指用于风风险识别别和对其其进行优优先排序序的有效效工具。一旦企企业的风风险被辨辨识和评评估以后后,就可可以根据据风险的的影响程程度和发发生可能能性等属属性得分分将其展展示在风风险图的的不同位位置上表表明其重重要程度度,借此此为风险险管理策策略和解解决方案案的制订订提供依依据。(三
6、)与与风险应应对相关关的术语语1、风险险管理策策略指企业根根据自身身条件和和外部环环境,围围绕企业业发展战战略,确确定风险险偏好、风险承承受度、风险管管理有效效性标准准,选择择风险承承担、风风险规避避、风险险转移、风险转转换、 风险对对冲、风风险补偿偿、风险险控制等等适合的的风险管管理工具具的总体体策略,并确定定风险管管理所需需人力和和财力资资源的配配置原则则。2、风险险偏好指企业在在实现目目标的过过程中所所愿意承承受的风风险的取取向数量量和水平平。3、风险险容忍度度指在企业业目标实实现过程程中对差差异的可可接受程程度,是是企业在在风险偏偏好的基基础上设设定的对对相关目目标实现现过程中中所出现
7、现差异的的可容忍忍限度。4、风险险应对指企业根根据风险险管理策策略,针针对各类类风险或或每一项项重大风风险制定定的一系系列的风风险应对对方法和和措施,主要包包括风险险解决的的具体目目标,所所需的组组织领导导,所涉涉及的管管理及业业务流程程,所需需的条件件、手段段等资源源,风险险事件发发生前、中、后后所采取取的具体体应对措措施以及及风险管管理工具具 (如如:关键键风险指指标管理理、损失失事件管管理等)。5、规避避风险退出会产产生风险险的活动动或业务务。6、降低低风险采取措施施降低风风险的可可能性或或影响,或者同同时降低低两者。7、转移移风险通过转移移来降低低风险的的可能性性或影响响,或者者分担一
8、一部分风风险。8、承受受风险不采取任任何措施施去干预预风险的的可能性性或影响响。9、风险险融资为实施风风险处理理及其他他相关活活动的费费用提供供资金的的活动。10、剩剩余风险险指在实施施风险管管理及有有计划的的应对控控制措施施后剩余余的风险险。剩余余的风险险如果超超过组织织的可接接受风险险水平,组织必必须安排排进一步步的风险险控制,将剩余余风险降降低到可可接受的的水平。二、全面面风险管管理常见见问题解解答(一)风风险的概概念及起起源1、什么么是风险险?怎样样正确理理解风险险?历史上对对风险有有过许多多定义,至今没没有完全全统一。 全面面风险管管理中将将风险定定义为“未来的的不确定定性对实实现目
9、标标的影响响”,可以以从以下下方面来来理解。首先,风风险是相相对于目目标而言言的,是是对目标标实现的的影响。一般说说来,目目标定得得越高、越越明确,风险就就越大。一个企企业要想想进入世世界前列列并保持持先进地地位的风风险和要要想随波波逐流的的风险明明显是不不一样的的。实际际上,没没有风险险就没有有回报,企业不不承担足足够的风风险就不不能满足足股东对对于回报报的期望望。从这这里我们们就看到到风险大大并不一一定是坏坏事。其次,风风险是关关于未来来的。风风险总是是同未来来的一个个时间段段联系在在一起的的。过去去发生的的事情和和现在已已确定的的情况都都不是风风险,只只有未来来的情况况才可能能成为风风险
10、。所所以对风风险的考考虑注定定是前瞻瞻性的思思维,是是对未来来的考虑虑,企业业风险管管理是企企业前瞻瞻性的管管理。再次,风风险是不不确定性性的表现现。确定定的损失失或收益益不是风风险,如如果未来来是完全全可以精精确预测测的,自自然也就就无风险险可言。不确定定性主要要表现为为两个层层面:第第一个层层面是风险险因素本本身的不不确定性性,第二二个层面面是风险险因素对对目标影影响程度度的不确确定性。值得注意意的是,定义中中并没有有把风险险限定为为只是负负面的或或者只是是可能带带来损失失的。对对目标有有正面影影响的风风险称作作机会风风险,只只有负面面影响的的风险称称作纯粹粹风险,全面风风险管理理中的定定
11、义是一一般性的的,包含含了机会会风险与与纯粹风风险。因因此,全全面风险险管理绝绝对不是是仅仅为为了防止止出事或或防止损损失,还还包括管管理机会会风险,为企业业创造价价值。2、风险险有哪些些属性?风险具有有以下属属性:(1)风风险的存存在具有有客观性性和普遍遍性作为未来来结果发发生的不不确定性性,风险险是不以以人的意意志为转转移并超超越人们们主观意意识的客客观存在在,风险险是无处处不在、无时不不有的。虽然人人类一直直希望认认识和控控制风险险,但直直到现在在也只能能在有限限的空间间和时间间内改变变风险存存在和发发生的条条件,降降低其发发生的频频率,减减少损失失程度,而不能能也不可可能完全全消除风风
12、险。(2)某某一具体体风险发发生的偶偶然性和和大量风风险发生生的必然然性任一具体体风险的的发生都都是诸多多风险因因素和其其他因素素共同作作用的结结果,是是一种随随机现象象。个别别风险事事故的发发生是偶偶然的、杂乱无无章的,但对大大量风险险事故资资料的观观察和统统计分析析,发现现其呈现现出明显显的运动动规律,这就使使人们有有可能用用概率统统计方法法及其他他现代风风险分析析方法去去计算风风险发生生的概率率和损失失程度,使风险险管理成成为可能能。(3)风风险的可可变性风险是随随着事件件的进展展而发生生变化的的。有些些风险会会得到控控制并消消除,有有些风险险会发生生并得到到处理,同时在在每一阶阶段又有
13、有可能产产生新的的风险。(4)风风险的多多样性和和多层次次性因企业生生命周期期长、规规模大、涉及范范围广、风险因因素数量量多且种种类繁杂杂致使其其在寿命命周期内内面临的的风险多多种多样样,而且且大量风风险因素素之间的的内在关关系错综综复杂、各风险险因素之之间与外外界交叉叉影响又又使风险险显现出出多层次次性。如果采取取适当的的措施使使破坏或或损失的的概率不不会出现现,那么么风险可可能带来来机会,不仅仅仅是规避避风险,可能还还会带来来比例不不等的收收益,有有时风险险越大,机会越越大,回回报越高高。因此,如如何判断断风险、选择风风险、规规避风险险继而运运用风险险,在风风险中寻寻求机会会创造收收益,意
14、意义更加加深远而而重大。3、风险险如何分分类?风险的分分类标准准不是绝绝对的,集团参参照全面面风险管管理指引引将风险险划分为为战略风风险、财财务风险险、运营营风险、法律风风险等。战略风险险是指与与公司达达到自身身确立的的战略目目标有关关的风险险,在这这些风险险的影响响下,公公司高管管层的战战略决策策可能无无法被顺顺利推行行,或偏偏离了初初衷。常见的的战略风风险包括括:政治治与政策策风险、投资决决策风险险、发展展风险、品牌风风险、公公司治理理与管控控结构风风险、战战略规划划风险等等。财务风险险是指一一切与财财务领域域相关的的风险,包括各各类资金金风险、货币风风险、资资产保全全风险、报表披披露风险
15、险等,这这类风险险容易造造成外界界甚至管管理层对对公司财财务数据据的错误误认识,从而影影响公司司运营及及声誉。常见的的财务风风险包括括:预算算控制风风险、融融资风险险、投资资管理风风险、资资产损失失风险、财务报报告编制制风险、税收筹筹划风险险、资金金风险、投保风风险等。运营风险险是指公公司正常常运营过过程中遇遇到的各各类风险险的总称称,会涉涉及到公公司日常常业务的的各个方方面,这这些风险险的发生生可能导导致运营营不顺、效率低低下、执执行错误误,最严严重的时时候可能能导致整整个或部部分业务务链的中中断。常常见的运运营风险险包括:作业风险险、HSSE风险险、人力力资源风风险、信信息系统统风险、价格
16、风险险、市场场营销风风险、原原材料风风险、客客户风险险、供应应商风险险等。法律风险险是指公公司违反反国家或或行业法法律法规规的风险险,这类类风险会会对公司司整体声声誉造成成极大的的伤害。常见的的法律风风险包括括:国内内法律风风险、对对外合作作法律风风险、公公司制度度法律风风险、合合同风险险、诉讼讼风险、信息披披露风险险等。企业风险险还存在在其他分分类方法法。如将将风险依依照动因因是内部部驱动还还是外部部驱动分分为内部部风险和和外部风风险,或或者按照照结果分分为机会会风险和和纯粹风风险。在在实践中中,有些些风险可可能会放放在不同同的分类类中。例例如,法法律风险险有时被被归入运运营风险险,有时时被
17、归入入战略风风险。对对于管理理者而言言,真正正重要的的不是如如何将这这些风险险分类,而是如如何管理理这些风风险。4、什么么是风险险管理?它是如如何发展展起来的的?因为风险险是未来来的不确确定性对对企业实实现其目目标的影影响,企企业要想想实现既既定的目目标,为为股东取取得预期期的回报报,就必必须很好好地管理理风险。风险管管理就是是指如何何在一个个肯定有有风险的的环境里里把纯粹粹风险降降至最低低并及时时把握可可能存在在的机会会的管理理过程。人类对风风险管理理理论的的研究始始于200世纪初初。企业业风险管管理发展展大致经经历了三三个阶段段:第一阶段段:以“安全与与保险”为特征征的风险险管理。1000
18、多年前前,快速速发展的的航海业业面临的的海上风风险催生生了保险险业的迅迅速发展展,最初初航运企企业风险险管理的的主要措措施就是是通过保保险把风风险转移移给保险险公司,从而规规避自身身的风险险损失。在200世纪330年代代,由于于受到119299-19333年的的世界性性经济危危机的影影响,美美国约有有40%左右的的银行和和企业破破产,经经济倒退退了约220年。美国企企业为应应对经营营上的危危机,许许多大中中型企业业都在内内部设立立了保险险管理部部门,负负责安排排企业的的各种保保险项目目。第二阶段段:以“内部控控制和控控制纯粹粹风险”为特征征的风险险管理。随着工工业革命命的发展展,产生生了加强强
19、“控制纯纯粹风险险”的概念念,提出出公司在在业务管管理和流流程方面面,尤其其是财务务管理方方面,要要有内部部控制。19449年美美国发布布了内内部控制制一调整整组织的的各要素素及其对对管理部部门和注注册会计计师的必必要性,首次次对内部部控制作作出了权权威的定定义。119555年,美美国宾夕夕法尼亚亚大学沃沃顿商学学院的施施耐德教教授第一一次提出出了“风险管管理”的概念念。20世纪纪70年年代中期期,作为为美国“水门事事件”调查结结果,立立法者和和监管团团体开始始对内部部控制问问题给以以高度重重视。119777年美国国国会通通过的反国外外贿赂法法,包包含了要要求公司司管理层层加强内内部会计计控制
20、的的条款。19883年在在美国召召开的风风险和保保险管理理协会年年会上,世界各各国专家家学者云云集纽约约,共同同讨论并并通过了了 “1011条风险险管理准准则”,这是是风险管管理走向向实践化化的一个个重要文文件。20世纪纪80年年代至990年代代,内部部控制在在结构上上进一步步完善。19885年,美国CCOSOO委员会会开始研研究企业业如何建建立以财财务管理理为主线线的有效效的内部部控制,19992年该该委员会会正式发发布了内部控控制一整整合框架架,这这份框架架此后被被纳入政政策和法法规之中中,并被被各国数数千家企企业用来来为实现现既定目目标所采采取的行行动加以以更好的的控制。19995年由由
21、澳大利利亚和新新西兰联联合制订订的AAS/NNZS 43660明明确定义义了风险险管理的的标准程程序,这这就是我我们通常常说的澳澳新ERRM标准准,这标标志着第第一个国国家风险险管理标标准的诞诞生。第三阶段段:以“风险管管理战略略与企业业总体发发展战略略紧密结结合”为特征征的全面面风险管管理。多多年来,人们在在风险管管理实践践中逐渐渐认识到到,一个个企业内内部不同同部门或或不同业业务的风风险,有有的相互互叠加放放大,有有的相互互抵消减减少。因因此,企企业不能能仅仅从从某项业业务、某某个部门门的角度度考虑风风险,必必须根据据风险组组合的观观点,从从贯穿整整个企业业的角度度看风险险,即要要实行全全
22、面风险险管理。然而,尽管很很多企业业意识到到全面风风险管理理,但是是对全面面风险管管理有清清晰理解解的却不不多,已已经实施施了全面面风险管管理的企企业则更更少。但但20001年111月的的美国安安然公司司倒闭案案和20002年年6月的的世通公公司财务务欺诈案案,加之之其它一一系列的的会计舞舞弊事件件,促使使企业的的风险管管理问题题受到全全社会的的关注。20002 年年7月,美国国国会通过过萨班斯斯法案(Sarrbannes-Oxlley法法案),要求所所有在美美国上市市的公司司必须建建立和完完善内控控体系。在其影响响下,世世界各国国纷纷出出台类似似的方案案,加强强公司治治理和内内部控制制规范,
23、加大信信息披露露的要求求,加强强企业全全面风险险管理。接着在在20004年99月,CC0S00发布企业风风险管理理-整合框框架(Entterpprisse RRiskk Maanaggemeent-InttegrrateedFrrameeworrk),该框架架拓展了了内部控控制,更更加关注注于企业业全面风风险管理理这一更更为宽 泛的领领域,并并随之成成为世界界各国和和众多企企业广为为接受的的标准规规范。到目前为为止,世世界上已已有300多个国国家和地地区,包包括所有有发达国国家和地地区及一一些发展展中国家家如马来来西亚,都发表表了对企企业的监监管条例例和公司司治理准准则。在在各国的的法律框框架
24、下,企业有有效的风风险管理理不再是是企业的的自发行行为,而而成为企企业经营营的合规规要求。(二)CC0S00风险管管理理论论5、C00S0企业风风险管理理一整合合框架是怎样样产生的的?在内部控控制标准准制定方方面,美美国发起起人组织织委员会会 (CC0S00)一直直是国际际公认的的权威机机构,自自其成立立以来,一直致致力于内内部控制制标准的的制定,引导和和代表着着内部控控制的发发展趋势势。19992年年,C00S0提提出了内部控控制一整整合框架架,经经过十多多年的应应用,已已成为业业界普遍遍认可的的一个标标准。近近些年来来,一系系列财务务失败事事件的发发生以及及对企业业风险管管理的关关注,使使
25、人们越越来越清清楚地认认识到需需要一个个强有力力的框架架以便有有效地识识别、评评估和控控制风险险。20011年,CC0S00开展了了一个项项目,委委托普华华永道(PWCC)开发发一个对对于管理理当局评评价和改改进他们们所在组组织的企企业风险险管理的的框架。但在开开发这个个框架期期间,又又发 生生了一系系列令人人嘱目的的企业丑丑闻和失失败事件件,投资资者、公公司员工工和其他他利益相相关者因因此而遭遭受了巨巨大的损损失。随随之而来来的便是是对采用用新的法法律、法法规和上上市准则则来加强强公司治治理和风风险管理理的呼吁吁。人们们迫切需需要一个个能够提提供关键键原则和和概念、共同的的语言以以及明晰晰的
26、方向向和指南南的企业业风险管管理框架架。美国国在20002年年颁布了了萨班班斯-奥克斯斯利法案案,其其他国家家也已经经通过或或正在考考虑类似似的立法法。这部部法律扩扩充了长长期持续续的对公公众公司司保持内内部控制制制度的的规定,要求管管理当局局证实、并由独独立审计计师鉴证证这些制制度。220044年9月月,C00S0发发布了企业风风险管理理-整合合框架,它拓拓展了内内部控制制框架,更关注注于企业业风险管管理这一一更加宽宽泛的领领域。按按照C00S0的的设想,他们不不打算、也的确确没有用用企业风风险管理理框架取取代内部部控制框框架,而而是将内内部控制制框架纳纳入其中中,公司司不仅可可以借助助这个
27、企企业风险险管理框框架来满满足它们们内部控控制的需需要,还还可以借借此转向向一个更更加全面面的风险险管理过过程。6、怎样样理解企企业风险险管理的的性质?COSOO在其报报告中指指出,企业风风险管理理是一个个过程, 它由由一个主主体的董董事会、管理当当局和其其他人员员实施,应用于于战略制制定并贯贯穿于企企业之中中,旨在在识别可可能会影影响主体体的潜在在事项,管理风风险以使使其限制制在该主主体的风风险容量量之内,并为主主体目标标的实现现提供合合理保证证。与内内部控制制相比,企业风风险管理理补充了了两个内内容:一一个是战战略目标标,一个个是风险险控制。COSOO在对“企业风风险管理理”的界定定中重点
28、点强调了了七个属属性和理理念:(1)企企业风险险管理是是一个过过程,它它持续流流动于企企业之内内;(2)企企业风险险管理是是由组织织中各个个层级的的人员来来实施的的;(3)企企业风险险管理应应用于战战略制定定的过程程中;(4)企企业风险险管理贯贯穿企业业整体,在各个个层级和和单元应应用,还还包括采采取企业业整体层层级的风风险组合合观;(5)企企业风险险管理旨旨在识别别那些一一旦发生生将会影影响企业业的潜在在事项,并把风风险控制制在风险险容量以以内;(6)企企业风险险管理能能够向一一个企业业的管理理当局和和董事会会提供合合理保证证;(7)企企业风险险管理力力求实现现一个或或多个不不同类型型但相互
29、互交叉的的目标。COSOO秉承了了其“整合”的思路路,给出出了企业业风险管管理的一一个宽泛泛的定义义,通过过提炼对对公司和和其他组组织风险险管理的的关键概概念,为为不同组组织形式式、行业业和部门门的应用用提供了了基础。另外,它直接接关注特特定主体体既定目目标的实实现,并并为界定定企业风风险管理理的有效效性提供供了依据据。7、企业业风险管管理有什什么作用用?COSOO认为,企业风风险管理理应发挥挥以下作作用:(1)衔衔接风险险容量与与战略管理当局局在评价价战略方方案、设设定相关关目标和和建立相相关风险险的管理理机制的的过程中中,需要要考虑所所在主体体的风险险容量。(2)增增进风险险应对决决策企业
30、风险险管理应应能提髙髙企业选选择风险险应对策策略的准准确性。(3)抑抑减经营营意外和和损失主体识别别潜在事事项和实实施应对对的能力力得以增增强,抑抑制或减减少了意意外情况况以及伴伴随而来来的成本本或损失失。(4)识识别和管管理贯穿穿于企业业的多重重风险每一家企企业都面面临影响响自身不不同组成成部分的的一系列列风险,企业风风险管理理有助于于有效地地应对交交互影响响,以及及整合式式地应对对多重风风险。(5)抓抓住机会会通过全面面考虑潜潜在事项项,促使使管理当当局识别别并积极极地把握握机会。(6)改改善资本本配置获取强有有力的风风险信息息,以使使管理当当局能够够有效地地评估总总体资本本需求,并改进进
31、资本配配置。8、怎样样对企业业风险管管理定位位?COSOO在界定定企业风风险管理理时,明明确了两两个所属属关系:(1)内内部控制制是企业业风险管管理的一一个组成成部分;(2)企企业风险险管理是是管理过过程的一一个组成成部分。企业风险险管理框框架的要要素都是是管理层层经营一一个企业业所做的的事情。但是,并非管管理层做做的事情情都是企企业风险险管理的的组成部部分。在在管理层层的决策策与相关关管理行行为中应应用的许许多判断断,尽管管是管理理过程的的组成部部分,但但不是企企业风险险管理的的组成部部分。例例如,确确保有一一个适当当的目标标设定过过程是企企业风险险管理的的一个关关键组成成要素,而管理理层选
32、择择的特定定目标不不是企业业风险管管理的组组成部分分;在适当当风险评评估的基基础上对对风险做做出反应应是企业业风险管管理的组组成部分分,而所所选择的的特定风风险应对对策略和和相关的的资源配配置不是是企业风风险管理理的组成成部分;确定和和实施控控制活动动以确保保管理层层选择的的风险应应对策略略得到有有效的实实施是企企业风险险管理的的组成部部分,而而所选择择的特定定控制活活动不是是企业风风险管理理的组成成部分。企业风险险管理包包括那些些能够使使管理层层依据可可靠信息息做出风风险基础础决策的的管理过过程,但但是从一一系列适适当的选选择中选选出的特特定决策策不会决决定企业业风险管管理是否否有效。另外,
33、普普华永道道(PWWC)在在后续的的一份报报告中提提出了个GRRC (Govvernnancce, Rissk, Commpliiancce)模模型。 该报告告认为,组织可可以通过过把GRRC战略略性地整整合进它它 们的的经营中中,以形形成一个个可以对对企业进进行管理理的道德德和经营营框架。这个框框架包括括治理(Govvernnancce)、企业风风险管理理(Ennterrpriise Rissk MManaagemmentt)和遵遵守 (Commpliiancce)三三个组成成部分,从中可可以看出出企业风风险管理理的定位位。在这这个框架架中,治治理活动动包括设设定经营营战略和和目标,确定风风
34、险偏好好,建立立文化和和价值观观,制定定内 部部政策和和监督绩绩效;风风险管理理活动包包括识别别和评价价那些可可能会影影响目标标实现能能力的风风险,应应用风险险管理来来获得竞竞争优势势和确定定风险应应对策略略和控制制活动;遵守活活动包括括遵照目目标经营营,确保保遵守法法律和法法规、内内部政策策与程序序以及利利益相关关者的委委托。9、C00S0企业风风险管理理一整合合框架包括哪哪些内容容?COSOO的企业业风险管管理框架架是个三三维立体体的框架架。这种种多维立立体的表表现形式式,有助助于全面面深入地地理解控控制和管管理对象象,分析析解决控控制中存存在的复复杂问题题。第一个维维度(上上面维度度)是
35、目目标体系系,包括括四类目目标:(1)战战略目标标,即高高层次目目标,与与使命相相关联并并支撑使使命;(2)经经营目标标,高效效率地利利用资源源;(3)报报告目标标,报告告的可靠靠性;(4)合合规目标标,符合合适用的的法律和和法规。第二个维维度(正正面维度度)是管管理要素素,包括括八个相相互关联联的构成成要素,它们源源自管理理当局的的经营方方式,并并与管理理过程整整合在一一起,具具体为:(1)内内部环境境。管理理当局确确立关于于风险的的理念,并确定定风险容容量。所所有企业业的核心心都是人人(他们们的个人人品性,包括诚诚信、道道德价值值观和胜胜任能力力)以及及经营所所处的环环境,内内部环境境为主
36、体体中的人人们如何何看待风风险和着着手控制制风险确确立了基基础。(2)目目标设定定。必须须先有目目标,管管理当局局才能识识别影响响目标实实现的潜潜在事项项。企业业风险管管理确保保管理当当局采取取恰当的的程序去去设定目目标,并并保证选选定的目目标支持持主体的的使命并并与其相相衔接,以及与与它的风风险容量量相适应应。(3)事事项识别别。必须须识别可可能对主主体产生生影响的的潜在事事项,包包括表示示风险的的事项和和表示机机会的事事项,以以及可能能二者兼兼有的事事项。机机会被追追溯到管管理当局局的战略略或目标标制定过过程。(4)风风险评估估。要对对识别的的风险进进行分析析,以便便确定管管理的依依据。风
37、风险与可可能被影影响的目目标相关关联。既既要对固固有风险险进行评评估,也也要对剩剩余风险险进行评评估,评评估要考考虑到风风险的可可能性和和影响。(5)风风险应对对。员工工识别和和评价可可能的风风险应对对措施,包括回回避、承承担、降降低和分分担风险险。管理理当局选选择一系系列措施施使风险险与主体体的风险险容限和和风险容容量相适适应。(6)控控制活动动。制定定和实施施政策与与程序以以确保管管理当局局所选择择的风险险应对策策略得以以有效实实施。(7)信信息与沟沟通。主主体的各各个层级级都需要要借助信信息来识识别、评评估和应应对风险险。广泛泛意义的的有效沟沟通包括括信息在在主体中中向下、平行和和向上流
38、流动。(8)监监控。整整个企业业风险管管理处于于监控之之下,必必要时还会会进行修修正。这这种方式式能够动动态地反反映风险险管理状状况,并并使之根根据条件件的要求求而变化化。监控控通过持持续的管管理活动动、对企企业风险险管理的的单独评评价或者者两者的的结合来来完成。第三个维维度(侧侧面维度度)是主主体单元元,包括括集团、部门、业务单单元、分分支机构构四个层层面。10、目目标设定定、事件件识别和和风险评评估这三三者间有有什么关关联?“目标设设定”也就是是管理层层制定战战略目标标,为确确定运营营,报告告和合规规目标提提供了背背景。这这些目标标要与公公司的风风险承受受能力相相匹配,而风险险承受能能力不
39、仅仅决定着着公司的的风险容容忍度高高低,同同时也是是识别事事件、评评估风险险和响应应风险的的前提条条件。在在对事件件进行识识别时,需要考考虑具体体的目标标。“识别事事件”即管理理层识别别出潜在在的事件件,这些些事件可可能会对对公司实实施战略略和实现现目标的的能力产产生正面面或负面面影响。潜在的的负面事事件就是是赖以评评估风险险和风险险应对措措施效能能的环境境情景。潜在的的正面事事件则代代表着机机会,管管理层应应在制定定战略和和目标的的过程中中将这些些机会纳纳入考虑虑范围。“评估风风险”即管理理层采用用定量和和定性方方法来评评估可能能会影响响目标实实现的未未来事件件的可能能性及其其潜在影影响。管
40、管理层既既可以单单独地评评估各项项事件,也可以以分门别别类地进进行评估估。因此此,要想想真的取取得成效效,风险险评估就就需要预预设要实实现的目目标,从从而周密密地盘查查清点出潜潜在的未未来事件件。11、怎怎样理解解风险管管理框架架中企业业风险管管理的目目标?企业风险险管理框框架目标标体系中中,增加加了内部部控制整整合框架架中所没没有的一一类目标标:战略略目标。虽然是是平行的的方式列列示,但但是,战战略目标标在这个个目标体体系中是是最高层次次的,其其他三类类目标都都应当从从属于战战略目标标。都是是在为战战略目标标服务。此外,企业风风险管理理框架的的报告目目标也有有所拓展展。在内内部控制制框架中中
41、,报告告指的是是公布的的财务报报表。报报告目标标主要关关注公布布的财务务报表的的可靠性性,而在在企业风风险管理理框架中中,报告告包括由由企业编编制、向向内部和和外部散散发的所所有报告告,而且且范围也也从财务务报表的的财务信信息扩展展到了更更广泛的的非财务务信息。尽管在在企业风风险管理理框架中中,并没没有明确确表示其其遵守目目标与内内部控制制的遵守守目标有有什么不不同,但但是,负负责拟定定企业风风险管理理框架的的普华永永道(PPWC)在其220044年的一一份名为为整合合-驱动动绩效的 报报告中认认为:“主要关关注遵守守法律、法规的的传统合合规方法法是不充充分的,遵守内内部治理理、道德德与风险险
42、标准和和政策在在防止遭遭受与声声誉相关关的风险险方面更更有效。”该报告告对 “遵守”的内涵涵进行了了拓展,提出了了一个全全新视角角的“遵守”,给出出了一个个遵守风风险的新新定义。遒守风风险是指指 “由于没没有能够够遵守法法律法规规、内部部规则和和政策以以及顾客客、雇员员和社会会等主要要利益相相关者的的期望而而导致对对组织的的经营模模式、声声誉和财财务状况况产生损损害的风风险”。另外,内内部控制制整合框框架19994年年补充的的“保护资资产”目标在在企业风风险管理理框架中中并没有有单列,因为CC0S00 认为为,这个个目标的的内容已已经分别别包含在在了上述述几类目目标之中中。对于目标标的实现现,
43、企业业风险管管理与内内部控制制一样,只能提提供合理理的保证证,而且且对于不不同的目目标所提提供合理理保证的的内容也也不尽相相同。对对于报告告目标和和合规目目标而言言,因为为有关报报告的可可靠性和和符合法法律、法法规的目目标在主主体的控控制范围围之内,所以可可以期望望企业风风险管理理为实现现这些目目标提供供合理保保证。但但是,对对于战略略目标和和经营目目标而言言,由于于这些目目标的实实现还取取决于一一些不在在主体控控制范围围之内的的外部事事项,所所以企业业风险管管理可以以提供合合理保证证的是对对目标的的实现过过程进行行有效的的信息沟沟通,即即管理当当局以及及承担监监督职能能的董事事会能够够及时地
44、地了解企企业目标标实现的的进展情情况。12、企企业风险险管理框框架与内内部控制制框架有有什么不不同?企业风险险管理框框架与内内部控制制框架相相比,在在要素构构成上主主要有两两个方面面的变化化:一是是以“内部环环境”取代“控制环环境”,在“内部环环境”中引入入了风险险管理理理念、风风险偏好好两个概概念。风风险管理理理念是是一套共共享的观观念和态态度,它它标志着着企业考考虑风险险时的特特征,反反映了企企业的价价值观,影响着着企业的的文化和和经营方方式。风风险偏好好反映了了一个企企业的风风险管理理理念,并影响响着企业业的文化化和经营营方式。另一个个变化是是企业风风险管理理更加关关注风险险,拓展展了内
45、部部控制框框架的风风险评估估要素,进一步步细分为为目标设设定、事事项识别别、风险险评估和和风险应应对四个个要素。在结构方方面,CCOSOO沿用了了内部控控制整合合框架中中通过三三维矩阵阵表现构构成要素素与目标标之间关关系的表表示方法法。 四四类目标标用纵向向的栏表表示,八八个构成成要素用用横向的的列表示示,而一一个主体体内的各各个单元元则用第第三个维维度表示示。这种种表示方方式使使使用者既既能够从从整体上上关注一一个主体体的企业业风险管管理,也也可以从从目标类类别、构构成要素素、主体体单元,甚至其其中任何何一个分分项的角角度去加加以认识识。企业业风险管管理的构构成和目目标既是是建立健健全企业业
46、风险管管理过程程的依据据,也是是评价其其有效性性的标准准。认定定一个主主体的企企业风险险管理是是否有效效,是在在对八个个构成要要素是否否存在并并有效运运行进行行评估的的基础之之上所做做的判断断。构成成要素如如果存在在并且正正常运行行,那么么就可能能没有重重大缺陷陷,表示示风险被被控制在在主体的的风险容容量之内内。当企企业风险险管理分分别在四四类目标标中的每每一类下下都被确确定为有有效时,就可以以合理保保证董事事会和管管理当局局了解主主体实现现其战略略和经营营目标、主体的的报告可可靠性以以及适用用的法律律和法规规被遵循循的程度度。此外外,八个个构成要要素在每每个主体体中的运运行也不不是千篇篇一律
47、的的。例如如,在中中小规模模主体中中的应用用可能不不太正式式,不太太完备。尽管如如此,当当八个构构成要素素存在且且正常运运行时,依然表表示小规规模主体体的企业业风险管管理是有有效的。13、企企业风险险管理-整合框框架对企企业有什什么借鉴鉴意义?企业风风险管理理-整合合框架再一次次强调了了系统的的概念,即在实实施企业业整体风风险管理理过程中中,主体体中的每每个人都都对企业业风险管管理负有有责任:单位负负责人负负有首要要责任,并且应应当成为为主要责责任人;其他管管理人员员支持主主体的风风险管理理理念,并在各各自的责责任范围围内依据据风险容容量去管管理风险险;首席席风险官官、财务务总监、内部审审计师等等通常负负有关键键的支持持责任;主体中中的其他他人员负负责按照照既定的的指引和和条例去去实施企企业风险险管理;董事会会对企业业风险管管理进行行监督,并察觉觉和认同同主体的的风险容容量。很多外部部集团,例如顾顾客、咨咨询机构构、商业业伙伴、外部审审计师、监管者者和财务务分析师师,常常常提供影影响企业业风险管管理的有有用信息息,但是是他们不不对主体体的企业业风险管管理的有有效性承承担任何何责任。COSOO的企企业风险险管理-整合框框架可可以为不不同的利利益相关关者提供供有效的的借鉴和和指导。对企业业的董事事会来说说,董事事会应当当与高级级管理人人员讨论论主体企企